Tanya tentang malware PHP Upload Exploit di wordpress


Status
Not open for further replies.
reyhan

reyhan

Expert 1.0
boleh mas, silahkan tertawa saja bebas kok.

cuman mau kasih info saja sih, saya bisa memberikan info seperti itu karena saya sudah pernah melakukan sendiri dengan memanfaatkan kelemahan bug dari plugin revslider.
dulu saya temukan bug disana dimana ada celah untuk melakukan upload file dari plugin tersebut tan pa saya harus login ke cpanelnya ataupun ke wp-admin.

ini hanya sekedar contoh saja kok. jadi bisa juga karena ada celah dari plugin atau theme yang anda gunakan, sehingga fille bisa direplace dengan script yang anda infokan diatas.

masih mau ketawa ? monggo :)
 
M

mlutfiup

Hosting Guru
ngapain ngerestore file yang udah di quarantine? itu virus loh
sama aja membahayakan pihak hostingnya
yang quarantine itu anti virusnya saya rasa bukan manual
 
pluto01

pluto01

Hosting Guru
The Warrior
Verified Provider
mlutfiup said:
ngapain ngerestore file yang udah di quarantine? itu virus loh
Click to expand...
Mungkin yg dimaksud TS bukan direstore tapi tujuannya untuk mendapatkan file tersebut misalnya dikirim ke ybs sebagai data analisa, sapa tahu setelah baca2 isi di dalamnya ada informasi misalnya file itu bawaan dari mana,
Nah sepakat dengan teman2 di atas :
1. Analisa logs, baik logs dari server maupun logs dari administrator web jika ada,
2. Analisa juga plugin/themenya sapa tahu ada dari sana yg proses upoadnya, iya mungkin butuh kerja extra karena harus check satu2 manual, atau kalo ga mau ribet, instal ulang WPnya dgn db yg sama pluginnya sesuaikan dgn yg dipakai saja yg ga pakai dan atau yg ragu2 buang saja
3. Perhatikan permission folder/filenya agar tdk mudah dimodif/upload,
4. Koordinasi ke hosternya untuk bantu cari tahu juga

CMIIW
 
H

Habibillah

Poster 1.0
hendranata said:
agak ribet kalo ngurusi maleware gini.. untung2an kadang bisa aman seterusnya..kadang jg suatu saat bakal jebol lagi
ya mau ga mau memang coba install ulang semua saja..
trus juga coba wp-config.php bagian hash nya di generate ulang.. lalu user pass wp-admin, database jg diganti semua..
Click to expand...

Yup, saya sudah lakuin semua. berhubung ini cuma demo website, jadi saya tinggal install ulang semua

reyhan said:
boleh mas, silahkan tertawa saja bebas kok.

cuman mau kasih info saja sih, saya bisa memberikan info seperti itu karena saya sudah pernah melakukan sendiri dengan memanfaatkan kelemahan bug dari plugin revslider.
dulu saya temukan bug disana dimana ada celah untuk melakukan upload file dari plugin tersebut tan pa saya harus login ke cpanelnya ataupun ke wp-admin.
Click to expand...

hehe, bercanda aja mas ;). Itu saya kasih commen begitu karena sebelumnya saya sudah posting behubungan dengan plugin dan theme. malah saya sertakan daftarnya. berharap ada yang tahu plugin/theme mana yang bermasalah. Mungkin masnya kelewat membacanya.

mlutfiup said:
ngapain ngerestore file yang udah di quarantine? itu virus loh
Click to expand...

bukan nge-restore, tp minta filenya dikirm ke saya buat analisa. kan filenya .php jadi bisa lah baca dikit-dikit, klo file bin saya angkat tangan

pluto01 said:
1. Analisa logs, baik logs dari server maupun logs dari administrator web jika ada,
2. Analisa juga plugin/themenya sapa tahu ada dari sana yg proses upoadnya, iya mungkin butuh kerja extra karena harus check satu2 manual, atau kalo ga mau ribet, instal ulang WPnya dgn db yg sama pluginnya sesuaikan dgn yg dipakai saja yg ga pakai dan atau yg ragu2 buang saja
3. Perhatikan permission folder/filenya agar tdk mudah dimodif/upload,
4. Koordinasi ke hosternya untuk bantu cari tahu juga
Click to expand...

Noted. thanks. Dari hoster gak ada clue. males juga ngotot-ngototan :D

Update
Berhubing cuma website demo, websitenya saya install ulang semua, semua file dan database saya hapus dulu semua, baru install ulang pake softaculous, jadi gak upload fia FTP. Terimakasih untuk semuanya yang sudah nimbrung di trit ini. mohon maaf kalo ada yang kurang berkenan ;)
 
pluto01

pluto01

Hosting Guru
The Warrior
Verified Provider
Habibillah said:
Update
Berhubing cuma website demo, websitenya saya install ulang semua, semua file dan database saya hapus dulu semua, baru install ulang pake softaculous, jadi gak upload fia FTP. Terimakasih untuk semuanya yang sudah nimbrung di trit ini. mohon maaf kalo ada yang kurang berkenan ;)
Click to expand...
Iya sich cuman, tp moga2 tdk kejadian di web yg sdh berjalan kedepannya, jd tetap butuh antisipasi, Aamiin
 
DraCoola

DraCoola

Expert 1.0
kejadiannya 30 maret yah... lama juga
tapi misal hoster punya fitur monthly backup, dicoba aja download monthly backupnya dari cpanel
barangkali bisa dapet file wp-acsesapps.php di dalam monthly backup

tapi kalo dari info "Known exploit = [Fingerprint Match] [PHP Upload Exploit]", sepertinya wp-acsesapps.php = file isi script php untuk fungsi upload
script gituan yg kesohor misalnyal : FilesMan
nah berarti ada backdoor/exploit yg lainnya lagi yg dipake untuk create/upload/inject file wp-acsesapps.php tadi
 
M

mlutfiup

Hosting Guru
pluto01 said:
Mungkin yg dimaksud TS bukan direstore tapi tujuannya untuk mendapatkan file tersebut misalnya dikirim ke ybs sebagai data analisa, sapa tahu setelah baca2 isi di dalamnya ada informasi misalnya file itu bawaan dari mana,
Nah sepakat dengan teman2 di atas :
1. Analisa logs, baik logs dari server maupun logs dari administrator web jika ada,
2. Analisa juga plugin/themenya sapa tahu ada dari sana yg proses upoadnya, iya mungkin butuh kerja extra karena harus check satu2 manual, atau kalo ga mau ribet, instal ulang WPnya dgn db yg sama pluginnya sesuaikan dgn yg dipakai saja yg ga pakai dan atau yg ragu2 buang saja
3. Perhatikan permission folder/filenya agar tdk mudah dimodif/upload,
4. Koordinasi ke hosternya untuk bantu cari tahu juga

CMIIW
Click to expand...

ooh kalo gitu gak masalah sih

Habibillah said:
bukan nge-restore, tp minta filenya dikirm ke saya buat analisa. kan filenya .php jadi bisa lah baca dikit-dikit, klo file bin saya angkat tangan
Click to expand...

btw provider hostingnya mau ngasih filenya?
 
H

Habibillah

Poster 1.0
DraCoola said:
kejadiannya 30 maret yah... lama juga
tapi misal hoster punya fitur monthly backup, dicoba aja download monthly backupnya dari cpanel
barangkali bisa dapet file wp-acsesapps.php di dalam monthly backup
Click to expand...

Ia, awalnya saya cuekin karena bisa di quarantine. eh ternyata ada 2-3 kali notif untuk kasus yang mirip

DraCoola said:
tapi kalo dari info "Known exploit = [Fingerprint Match] [PHP Upload Exploit]", sepertinya wp-acsesapps.php = file isi script php untuk fungsi upload
script gituan yg kesohor misalnyal : FilesMan
nah berarti ada backdoor/exploit yg lainnya lagi yg dipake untuk create/upload/inject file wp-acsesapps.php tadi
Click to expand...

Noted, makasih infonya
 
Status
Not open for further replies.

Top